Если у вас есть вопрос по услуге или задача в рамках направления, напишите нам. Наши специалисты проведут консультацию, помогут найти оптимальное решение вашей проблемы.
Обеспечение безопасности больших организаций сложная задача, которая требует особого внимания. Группа компаний Innostage обладает многолетним опытом построения систем управления, накопления и оперативной обработки данных.
Различная зрелость подразделений ИБ в филиалах и дочерних предприятий организации увеличивает взаимное влияние на общий уровень безопасности, позволяя злоумышленнику проводить атаки через «слабое звено». Решением проблемы являются различные системы сбора, мониторинга и обработки данных.
Группа компаний Innostage обладает многолетним опытом построения систем управления, накопления и оперативной обработки данных:
- Системы сбора и анализа событий ИБ (SIEM).
- Системы поведенческого анализа пользователей и сущностей (UEBA).
- Платформы киберразведки (Threat intelligence platform).
- Системы управления инцидентами ИБ (IRP).
- Системы оркестрации событий безопасности и автоматического реагирования (SOAR).
- Аналитическое хранилище событий ИБ (Security DataLake).
Преимущества внедрения решения
Каждая отдельная система может являться частью SOC (Security Operations Center), так и быть отдельным независимым звеном в системе обеспечения кибербезопасности предприятия.
В зависимости от задач, стоящих перед предприятием, мы поможем внедрить ту или иную технологию в имеющуюся инфраструктуру.
|
# |
Решаемые задачи |
Преимущества |
Вендора |
|---|---|---|---|
|
SIEM
|
Консолидация данных, сбор событий ИБ из различных источников. Хранение событий безопасности из различных источников в историческом порядке для ретроспективного анализа и определения цепочек действий, ставших причиной возникновения инцидентов безопасности. Предоставление инструментов для экспертного анализа событий и разбора инцидентов безопасности с возможностью поиска по множеству параметров и построению моделей связи событий между собой. Автоматическое оповещение администратора безопасности через интерфейс SIEM посредством интеграции с системой учета заявок, а также по электронной |
Централизация оперативного управления ИБ. Приоритизация инцидентов ИБ в соответствии с важностью актива, и как следствие, реагирование только на действительно важные инциденты. Контроль конфигурации информационных ресурсов и состояния их защищенности. Оперативное реагирование на инциденты ИБ. Контроль обеспечения и управления ИБ. Возможность оценки состояния ИБ на данный момент времени. Выполнение требований PCI DSS, ФЗ о персональных данных, СТО БР, ISO/IEC 27001:2005 и др.
|
MicroFocus ArcSight ELK SIEM Positive Technologies IBM QRadar McAfee ESM FortiSIEM RUSIEM КОМРАД |
|
UEBA |
Автоматическое обнаружение широко спектра внутренних и внешних угроз, большинство из которых не определяются классическими средствами ИБ. Обнаружение нарушений со стороны сотрудников: утечка данных, злоупотребление предоставленным доступом и т.п. Снижение количества ложных срабатываний (falsepositive) за счет применения технологий ML. Выявление аномальных действия в учетных записях пользователей. Более эффективная реакция на события за счет предоставления администраторам ИБ расширенной информации об инциденте, включающей все объекты, которые были вовлечены в аномальную активность |
Расширение видимости фактического поведения сотрудников при работе с информационными системами, отфильтрованной по рисковым моделям поведений, понимания намерений сотрудников с целью профилактики нарушений безопасности. Очистка потока событий существующих систем ИБ (в т.ч. SIEM, DLP) от «шумового», «фонового» массива. Снижение нагрузки на аналитиков. Более глубокое представление о том, что делает пользователи в системе.
|
ArcSight Intelligence (Interset) Exabeam Advanced Analytics IBM QRadar UBA Microsoft Advanced Threat Analytics (ATA) |
|
Threat intelligence platform |
Сбор, нормализация и обогащение миллионов IOC из большого количества источников данных кибер-разведки. Автоматическая оценка важности и приоритезация IOC. Распространение IOC на средства защиты для проактивного мониторинга и блокирования новых угроз. |
Расширение возможностей SIEM и других средств защиты по выявлению и блокированию угроз ИБ. Повышение эффективности работы аналитиков по расследованию инцидентов, подготовке и распространению аналитики и отчетов по кибер-разведке. Ранее оповещение о целевых атаках и вирусной активности. Автоматизация обмена индикаторами позволяет различным структурным подразделениям оперативно реагировать на новые угрозы. Возможность обнаружения скрытых атак. |
Kaspersky Anomaly MISP
|
|
IRP/SOAR |
Автоматизация ключевых процессов управления инцидентами ИБ, в том числе процесс мониторинга, управления и реагирования на инциденты ИБ. Оптимизация процесса реагирования за счет интеграции с продуктами, использующими различные технологии безопасности. Инвентаризация ИТ-активов (в том числе объектов КИИ). Мониторинг и предоставление оперативной информации для реагирования и расследования инцидентов ИБ. Анализ угроз и управление уязвимостями. Организация совместной работы специалистов из ИБ, ИТ и других подразделений. Формирование аналитической и отчётной информации о состоянии ИБ. |
Высокая скорость реагирования за счет заранее описанных шагов расследования (Рlaybook) выявленных инцидентов и реагирование на них с помощью оркестрации. Снижение нагрузки на аналитиков SOC и предотвращение их «выгорания». Снижение вероятности возникновения ошибок при ручной обработке инцидентов. Невозможность пропускания и игнорирования зарегистрированных инцидентов. Более качественная и полная обработка инцидентов за счет использования большого числа СЗИ в автоматическом режиме, Быстрое обучение и адаптация новых сотрудников. Обеспечение документирования знаний, лучших практик и процессов реагирования на инциденты. Визуализации ключевых показателей эффективности. Возможность организации взаимодействия с ГосСОПКА.
|
Siemplify R-Vision Demisto ArcSight SOAR Demisto
|
|
Security DataLake |
Долгосрочное хранение данных для SIEM систем. Анализ хранимых данных при помощи математических моделей. Реализация функций по работе с историческими событиями на больших промежутках времени. Обогащение имеющихся событий данными из других подсистем. Выявление сложных векторов атак на инфраструктуру сети.
|
Предоставление удобных инструментов для аналитики ИБ, способных работать с большим объемом данных, включая возможность использования моделей машинного обучения. Возможность практически неограниченного горизонтального масштабирования. Снижение общей стоимости владения решением от 35% до 70% в сравнении с решениями на базе SIEM. Расширение функционала SIEM-систем, за счет включения в конвейер данных событий, не входящих в периметр SIEM. Преодоление ограничений SIEM систем, связанных с их пропускной способностью. Security DataLake снимает ограничения по объему собираемых данных и скорости доступа к ним. А это в свою очередь позволит видеть полную картину и повысить вероятность выявления угроз. Возможность вовлечения в работу данных, ранее остававшихся за границами анализируемых событий; Применение в компании технологического стека BigData с возможностью расширения его возможностей на имеющиеся в компании системы. |
Реализуется на базе программных модулей, разработанных группой компаний «Innostage». В основе системы лежит технологический стек BigData. |
Результаты
- Сокращение трудозатрат и издержек по комплексному мониторингу ИБ.
- Принятие проактивных мер защиты по всей организации в случае обнаружения атаки в одном из филиалов.
- Снижение вероятности ошибок из-за человеческого фактора.
- Минимизация рисков возникновения инцидентов ИБ, снижение времени на их реагирование и разрешение и, как следствие, снижение экономического ущерба от недоступности ресурсов и потери конфиденциальной информации.
